セキュリティ アドバイザリ
Microsoft セキュリティ アドバイザリ 906574
シンプルなファイル共有と ForceGuest の明確化
公開日: 2005 年 8 月 23 日
Microsoft は、Windows XP Service Pack 1 の既定以外の構成について、セキュリティ情報 MS05-039 で対処された問題の情報を明確にするために、このセキュリティ アドバイザリを発行しました。 この機能は、"Simple File Sharing and ForceGuest" と呼ばれます。 Windows XP Service Pack 2 を使用している場合、単純なファイル共有と ForceGuest を有効にしても、MS05-039 のセキュリティ脆弱性に対する露出レベルは上がりません。 また、MS05-039 に含まれるセキュリティ更新プログラムを適用したお客様は、この問題の影響を受けません。 お客様は、ファイアウォールの有効化、ソフトウェア更新プログラムの取得、ウイルス対策ソフトウェアのインストールに関する Microsoft の PC 保護ガイダンスに引き続き従うことをお勧めします。 これらの手順の詳細については、「PC の保護」Web サイトを参照してください。
Doメイン に参加していない Microsoft Windows XP システムで簡易ファイル共有が有効になっている場合、ネットワーク経由でこのシステムにアクセスするすべてのユーザーは、ゲスト アカウントの使用を強制されます。 これは"ネットワーク アクセス: ローカル アカウントの共有とセキュリティ モデル*"* セキュリティ ポリシー設定であり、ForceGuest** とも呼ばれます。
Windows XP は、有効なログオン資格情報を持たないユーザーがシステムにリモートでアクセスできないようにすることで、いくつかのセキュリティの脆弱性を軽減します。 この例として、Microsoft セキュリティ情報 MS05-039 で対処されている脆弱性があります。 ただし、簡易ファイル共有を有効にすると、ゲスト アカウントも有効になり、ネットワーク経由でシステムにアクセスするためのアクセス許可が付与されます。 ゲスト アカウントは有効な場合に有効なアカウントであり、ネットワーク経由でシステムにアクセスするためのアクセス許可が与えられているため、攻撃者は有効なユーザー アカウントを持っているかのようにゲスト アカウントを使用する可能性があります。
このシナリオを悪用しようとしている既知の攻撃はありません。 アドバイザリは特別な予防措置として発行されています。 セキュリティ情報 MS05-039 の更新プログラムに変更はありません。 この更新プログラムを適用したお客様は、このシナリオで保護されます。
軽減要因:
- Windows XP Service Pack 2 は、単純なファイル共有でゲスト アカウントが有効になっている場合でも、MS05-039 で対処される問題に対してリモートで脆弱ではありません。 Windows XP Service Pack 2 では、この脆弱性の影響はローカル特権の昇格のみであり、ユーザーがシステムにローカルでログオンできる場合にのみ悪用できます。
- Doメイン に参加している Windows XP システムでは、単純なファイル共有を使用できません。 参加メインシステムは、ゲスト アカウントを有効にしたり、ネットワーク経由でシステムにアクセスするためのアクセス許可を付与したりしない標準のファイル共有を使用します。 Windows XP Service Pack 2 は、doメイン 参加しているシステムやワークグループに参加しているシステムでは、リモートで脆弱ではありません。
- 簡易ファイル共有を有効にしても、Microsoft セキュリティ情報 MS05-039 によって提供されるセキュリティ更新プログラムを、そのセキュリティ情報で対処されている脆弱性に適用したお客様は公開されません。
一般情報
概要
アドバイザリの目的: Windows XP の簡易ファイル共有機能の目的とゲスト アカウントの使用を明確にするため。
アドバイザリの状態: アドバイザリが公開されました。
推奨事項: アドバイザリを確認し、セキュリティを強化するために適切な構成変更を適用します。
| リファレンス | [識別] |
|---|---|
| Microsoft Web サイト | シンプルな共有と ForceGuest |
| Microsoft Web サイト | ピア ツー ピア ネットワーク環境での Windows XP のセキュリティ保護 |
| Symantec DeepSight 脅威分析チームと Symantec BID | 14513 |
| セキュリティ情報 | MS05-039 |
このアドバイザリでは、次のソフトウェアについて説明します。
| 関連ソフトウェア |
| Microsoft Windows XP Service Pack 1 |
| Microsoft Windows XP 64 ビット エディション Service Pack 1 (Itanium) |
| Microsoft Windows XP Service Pack 2 |
| Microsoft Windows XP 64 ビット エディション バージョン 2003 (Itanium) |
| Microsoft Windows XP Professional x64 Edition |
よく寄せられる質問
アドバイザリの範囲は何ですか?
このアドバイザリでは、Windows XP の簡易ファイル共有機能とゲスト アカウントの使用について説明します。 ForceGuest と呼ばれるこのプロセスでは、セキュリティの脆弱性は発生しません。 ただし、 ForceGuest はゲスト アカウントを自動的に有効にし、ネットワーク経由でシステムにアクセスするためのアクセス許可が付与されます。 Windows XP Service Pack 2 を使用している場合、単純なファイル共有と ForceGuest を有効にしても、MS05-039 のセキュリティ脆弱性に対する露出レベルは上がりません。
これは、Microsoft がセキュリティ更新プログラムを発行する必要があるセキュリティの脆弱性ですか?
いいえ。 簡易ファイル共有機能は、一部のお客様が有効にすることを選択できるオプションの構成です。 この機能は、doメイン に参加しているシステムでは使用できません。 この機能と適切に構成する方法の詳細については、次 の Web サイトを参照してください。 Windows XP Service Pack 2 を使用している場合、単純なファイル共有と ForceGuest を有効にしても、MS05-039 のセキュリティ脆弱性に対する露出レベルは上がりません。
ゲスト アカウントが有効になり、ネットワーク経由でシステムへのアクセスが許可される方法
ワークグループおよび Windows XP ホーム システムのメンバーである Windows XP Professional システムでは、単純なファイル共有が使用されます。 簡易ファイル共有では、次 の Web サイトに記載されているネットワーク セットアップ ウィザードを手動で使用するか、[セキュリティ上のリスクを理解しているが、ウィザードを実行せずにファイルを共有する場合] を選択 してネットワーク セットアップ ウィザードをバイパスする必要があります。このオプションをクリックして 、簡易ファイル共有の構成を完了します。 これらの手順では、ゲスト アカウントを有効にし、ネットワーク ローカル セキュリティ ポリシーからこのコンピューターへのアクセスを拒否からゲスト アカウント を削除することで、ネットワーク からシステムにアクセスするためのアクセス許可を付与します。 ゲスト アカウントを手動で有効にした場合、ネットワーク経由でシステムにアクセスするためのアクセス許可がありません。
ゲスト アカウントがネットワーク経由でシステムにアクセスできるようにするには、ファイルと印刷の共有を有効にするだけでは不十分です。 ゲスト アカウントを有効にし、ネットワーク経由でシステムにアクセスできるようにするには、この FAQ セクションに記載されている手順を手動で実行する必要があります。 これらの手順を実行すると、ファイルまたは印刷の共有接続要求がゲスト アカウントとして正常に認証されます。 簡易ファイル共有とそのゲスト アカウントの使用の詳細については、次の Web サイトを参照してください。 この問題は、doメイン のメンバーである Windows XP Professional システムには影響しません。 Doメイン 参加済みシステムでは、単純なファイル共有は使用されません。 doメイン 参加済みシステムでファイルまたはプリンターを共有しても、ゲスト アカウントが有効にならないか、ネットワーク経由でシステムにアクセスするためのアクセス許可が付与されません。 Windows XP Service Pack 2 を使用している場合、単純なファイル共有と ForceGuest を有効にしても、MS05-039 のセキュリティ脆弱性に対する露出レベルは上がりません。
参加していないメインシステムでは、簡易ファイル共有を使用してゲスト アカウントを有効にできますか?
メイン参加済みの Windows XP Professional システムでは、簡易ファイル共有機能は実装されません。 ただし、Windows XP Professional システムで、簡易ファイル共有によってゲスト アカウントが有効になっている場合は、doメイン に参加する前に、そのシステムが後で do に参加したときにゲスト アカウントが再メイン有効になりますメイン。 これらのシステムでゲスト アカウントを無効にするには、次 の Web サイトに記載されている手順を実行します。 Windows XP Service Pack 2 を使用している場合、単純なファイル共有と ForceGuest を有効にしても、MS05-039 のセキュリティ脆弱性に対する露出レベルは上がりません。
操作方法これらの手順が実行されたシステムを使用しているかどうかを知っていますか?
ワークグループのメンバーである Windows XP Professional システムを使用している場合、または Windows XP Home システムを使用している場合は、次のコマンドを使用して、この問題に対して脆弱な可能性があるかどうかをすぐに確認チェック。 コマンド プロンプトで、「Net User Guest」と入力します。 結果の一覧で、ゲスト アカウントが [アカウントアクティブ] として 表示されている場合は、[はい] を選択すると、ゲスト アカウントにネットワーク経由でシステムにアクセスするアクセス許可も付与されている場合、この問題に対して脆弱になる可能性があります。 また、Windows XP Service Pack 2 を使用している場合、単純なファイル共有と ForceGuest を有効にしても、MS05-039 のセキュリティ脆弱性に対する露出レベルは上がりません。
Microsoft Baseline Security Analyzer (MB (メガバイト)SA) は、自分の do 内のシステムでゲスト アカウントが有効になっているかどうかを検出しますかメイン。
はい。 ゲスト アカウントを有効にするだけでは、ネットワーク経由でシステムにアクセスすることはできませんが、ゲスト アカウントを無効にすることをお勧めします。これにより、意図しないネットワーク アクセスがブロックされます。 MB (メガバイト)SA は、ゲスト アカウントがシステムで無効にされたことをチェックし、システム構成に応じて成功または失敗を報告します。
Windows ファイアウォールは、単純なファイル共有によってゲスト アカウントが有効になっている場合にアクセスをブロックするのに役立ちますか?
単純なファイル共有では Windows ファイアウォールで例外が自動的に有効になりますが、アクセスはローカル サブネットに制限されます。 ただし、Windows XP Service Pack 2 システムは、ファイアウォールが有効になっているかどうかに関して MS05-039 で説明されている問題に対してリモートで脆弱ではありません。
Windows XP ホーム システムでゲスト アカウントを無効にする操作方法
コマンド プロンプトで、「Net User Guest /Active:No」と入力して、ワークグループに参加しているシステムのゲスト アカウントを無効にします。 ゲスト アカウントを無効にすると単純なファイル共有がブロックされるため、doメイン に参加していないが、簡易ファイル共有の使用中に保護を強化したいシステムに対して推奨されるアクションは、ゲスト アカウントのパスワードを設定することです。 このパスワードの設定の詳細については、以下の「推奨されるアクション」セクションを参照してください。 Windows XP Service Pack 2 を使用している場合、単純なファイル共有と ForceGuest を有効にしても、MS05-039 のセキュリティ脆弱性に対する露出レベルは上がりません。
グループ ポリシーを使用して、doメイン 内でゲスト アカウントを無効にするにはどうすればよいですか?
ゲスト アカウントを有効にするだけでは、ネットワーク経由でシステムにアクセスすることはできませんが、ゲスト アカウントを無効にすることをお勧めします。これにより、意図しないネットワーク アクセスがブロックされます。 [アカウント: ゲスト アカウントの状態] が [無効] に設定されていることを確認することで、グループ ポリシーを使用してゲスト アカウントを無効にすることができますメイン。
推奨されるアクション
次の Microsoft Web サイトを確認します。
Windows XP の簡易ファイル共有機能と ForceGuest プロセスの詳細については、次の Web サイトを参照してください。
ゲスト アカウントを無効にできない Windows XP Professional のお客様は、ゲスト アカウントの既定のパスワードを変更する必要があります。
ゲスト アカウントを無効にできない場合は、ゲスト アカウントのパスワードを構成することをお勧めします。 これにより、ネットワーク上のすべてのシステムが相互に接続するためにこのパスワードを指定する必要があります。 Windows XP Professional のお客様は、次 の https に記載されている手順に従って、このパスワードを構成できます。 ゲスト アカウントでパスワードを構成すると、これらのシステムがゲスト アカウントの資格情報を使用して認証しようとする問題に対してリモートで脆弱になることを防ぐことができます。
ファイアウォールで TCP ポート 139 と 445 をブロックします。
これらのポートは、影響を受けるプロトコルとの接続を開始するために使用されます。 ファイアウォール (受信と送信の両方) でブロックすると、そのファイアウォールの背後にあるシステムがこの脆弱性を悪用するのを防ぐことができます。 他のポートを使用する可能性のある攻撃を防ぐために、インターネットからの未承諾の受信通信をすべてブロックすることをお勧めします。 ポートの詳細については、次 の Web サイトを参照してください。
PC の保護に関するガイダンスに従います。
ファイアウォールの有効化、ソフトウェア更新プログラムの取得、ウイルス対策ソフトウェアのインストールに関する Microsoft の PC 保護ガイダンスに従うことをお客様に引き続きお勧めします。 これらの手順の詳細については、「PC の保護」Web サイトを参照してください。
インターネット上の安全を維持する方法の詳細については、Microsoft セキュリティ のホーム ページを参照してください。
Windows を最新の状態に保ちます。
すべての Windows ユーザーは、コンピューターが可能な限り保護されていることを確認するために、最新の Microsoft セキュリティ更新プログラムを適用する必要があります。 ソフトウェアが最新かどうかわからない場合は、Windows Update Web サイトにアクセスし、コンピューターで利用可能な更新プログラムをスキャンし、提供されている優先度の高い更新プログラムをインストールします。 自動更新が有効になっている場合、更新プログラムはリリース時に配信されますが、必ずインストールする必要があります。
その他の情報
リソース:
- フォームに入力すると、次 の Web サイトにアクセスしてフィードバックを提供できます。
- 米国およびカナダのお客様は、Microsoft 製品サポート サービスからテクニカル サポートを受けることができます。 使用可能なサポート オプションの詳細については、Microsoft のヘルプおよびサポート Web サイトを参照してください。
- 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 国際サポートの問題について Microsoft に問い合わせる方法の詳細については、国際サポート Web サイトを参照してください。
- Microsoft TechNet セキュリティ Web サイトは、Microsoft 製品のセキュリティに関する追加情報を提供します。
免責事項:
このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。
リビジョン:
- 2005 年 8 月 23 日: アドバイザリの発行
2014-04-18T13:49:36Z-07:00</https にビルド:>